McAfee for Small Businesses

・W32/Yanz.b@MMはMSVCで作成され、出力メッセージを作成するSMTPエンジンが組み込まれた大量メール送信型ワームです。

・W32/Yanz.b@MMは、以下のような電子メールメッセージで届きます。

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

• World_Tour_Sun_YanZi
• Sun_Yanzi_Mp3
• Huai_Tian_Qi
• Forever Sun Yanzi
• SuN_YanZi_innocent
• I_hate_Spyware
• Sun-YanZi-Mp3-Archive
• Sun_YanZi_Hayrani
• Hoscakal
• Stefanie Sun Yanzi
• Sun_Yan_Zi
• Sun-YanZi
• Asia_Singer
• Sun_YanZi_HayranI
• Sun_YanZi

• Please listen to me Stefanie Sun Yanzi.
• I can not contact you. Because, I am far to you(Turkiye)
• I want to see Sun YanZi. Call me Sun Yan Zi ;)
• My Favourite Singer is Stefanie Sun Yanzi
• I want to meet Sun YanZi. I am loving Sun-YanZi's Magic. Call me YanZi. But you don't contact me(Turkiye).
• You must to listen Sun Yanzi. I am enjoying to listen Sun YanZi.

• Sun_Yan_Zi-Shen_Qi.mp3.pif
• Sun_YanZI.zip
• Dong_Shi.exe
• Yanzi.htm

・ターゲットマシンから送信する電子メールアドレスを収集します。具体的には、以下の拡張子を持つファイルを検索します。

• dbx
• adb
• asp
• jsp
• rtf
• doc
• xml
• txt
• htm
• html

・ただし、以下の文字列を含む電子メールアドレスには自身を送信しません。

• @milliyet
• @ntvmsnbc
• @hurriyetim
• @posta
• @aksam
• @sabah
• @erdemironline
• @erdemir
• @e-kolay
• @dostmail
• @mynet
• @superonline

・W32/Yanz.b@MMが（手動）で実行されると、NVCPL.EXEというファイル名でWindowsのシステムディレクトリに自身をコピーします。

• %SysDir% \NVCPL.EXE

・以下のレジストリ項目を作成し、Windows起動時にフックします。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "NvCpl" = %SysDir% \NVCPL.EXE

・W32/Yanz.b@MMはターゲットマシン上の「SHAR」という文字列を含むフォルダに自身をコピーします。その際、以下のようなユーザの注意を引くようなファイル名を使用します。

• Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe
• Sun_YanZi-Huai_Tian_Qi.mpg.exe
• Sun_YanZi-Tao_Wang.mpeg.exe
• Sun_YanZi-Shen_Qi.exe
• Sun_YanZi-I_am_not_sad.mp3.exe
• Sun_YanZi-Leave_me_alone.mp3.exe
• YanZi_SuN-forever.mp3.exe
• YanZi.Mp3.exe
• SunYanZi.mp3.exe

・このウイルスは、現在のDATSではVBS/Inorと検出されるVBSスクリプトをドロップ（作成）します。このVBSスクリプトは、有名なアジアのポップスターのイメージファイルを感染マシンのTEMPフォルダにドロップします。このスクリプトは、ドロップすると即座にこのJPEGファイルを実行するコードを含んでいます。以下に二つのイメージファイルを示します。